业务安全测试实践模版理论指导

系统的介绍业务安全测试理论方法案例 

1 业务安全试概述

业务安全测试通常是指针对业务运行的软、硬件平台(操作系统、数据库、中间件等)，业务系统自身(软件或设备) 和业务所提供的服务进行安全测试，保护业务系统免受安全威胁，以验证业务系统符合安全需求定义和安全标准的过程。本书所涉及的业务安全主要是系统自身和所提供服务的安全，即针对业务系统中的业务流程、业务逻辑设计、业务权限和业务数据及相关支撑系统及后台管理平台与业务相关的支撑功能、管理流程等方面的安全测试，深度挖掘业务安全漏洞，并提供相关整改修复建议，从关注具体业务功
能的正确呈现、安全运营角度出发，增强用户业务系统的安全性。传统安全测试主要依靠基于漏洞类型的自动化扫描检测，辅以人工测试，来发现如SOL 注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞，这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据等方面的安全风险。过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身，不与业务数据相关联，很难发现业务层面的漏洞，企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。

2 业务安全测试模型

·前台视角:业务使用者(信息系统受众) 可见的业务及系统视图，如平台的用户注册、充值、购买、交易、查询等业务。
·后台视角:管理用户(信息系统管理、运营人员) 可见的业务及系统视图，如平台的登录认证、结算、对账等业务。
·业务视角:业务使用者(信息系统受众) 可见的表现层视图，如 Web 浏览器、手机浏览器展现的页面